Pixelerad: Den (kontinuerliga) stora skörden av dina journaler

BERÄTTELSE ÖVERGÅNG

Vid det här laget är de flesta medvetna om att om de "gillar" en viss sida på Facebook så ger det sociala mediers jätte information om dem. "Gilla" en sida om en viss sjukdom, till exempel, och marknadsförare kan börja rikta in sig på dig med relaterade produkter och tjänster.

Facebook kanske också samlar in känslig hälsodata på mycket mer lömska sätt, inklusive spårning av dig när du är på sjukhuswebbplatser och även när du är i en personlig, lösenordsskyddad hälsoinformationsportal som MyChart.¹

Den gör detta via pixlar, som kan installeras utan din vetskap på webbplatser du besöker. De kan samla in information om dig när du surfar på webben, även om du inte har ett Facebook-konto.

Meta Pixel finns på sjukhusens webbplatser

I synnerhet är Meta Pixel en del av JavaScript-kod som utvecklare kan lägga till på sin webbplats för att spåra besökarnas aktivitet.² Enligt Meta:³

"Det fungerar genom att ladda ett litet bibliotek med funktioner som du kan använda när en webbplatsbesökare utför en åtgärd (kallad händelse) som du vill spåra (kallad konvertering). Spårade konverteringar visas i Ads Manager där de kan användas för att mäta effektiviteten hos dina annonser, för att definiera anpassade målgrupper för annonsinriktning, för dynamiska annonskampanjer och för att analysera effektiviteten hos din webbplatss omvandlingskanaler."

Till och med sjukhus väljer dataspårare, vilket framgår av en undersökning av The Markup, som testade webbplatser från Newsweeks topp 100 amerikanska sjukhus. Facebooks Meta Pixel hittades på 33 av webbplatserna och skickade Facebook-information kopplad till en IP-adress, som identifierar enskilda datorer och kan spåras tillbaka till en individ eller hushåll.

Pixeln spårar inte bara IP-adressen för den dator som används utan också vad läkare söks efter och söktermer som läggs till i sökrutor eller väljs från rullgardinsmenyer. The Markup rapporterade:⁴

"På webbplatsen för University Hospitals Cleveland Medical Center, till exempel, att klicka på knappen "Schedule Online" på en läkares sida fick Meta Pixel att skicka texten till knappen, läkarens namn och söktermen vi använde för att hitta Facebook. hon: "avbrytande av graviditeten."

Genom att klicka på knappen "Schemalägg online nu" för en läkare på webbplatsen för Froedtert Hospital, i Wisconsin, fick Meta Pixel att skicka texten på knappen till Facebook, läkarens namn och tillståndet vi valde från en rullgardinsmeny: "Alzheimers .””

Meta Pixel installerad på patientportaler

Hälso- och sjukvården blir alltmer digital, vilket gör integriteten för patientportaler som MyChart allt viktigare. År 2020 erbjöds cirka 6 av 10 amerikaner tillgång till en patientportal online – en ökning med 17 % sedan 2014 – och nära 40 % fick tillgång till sina journaler online minst en gång.⁵

Sammantaget laddade ungefär en tredjedel av dem som använde patientportaler ner sina onlinejournaler 2020, vilket är nästan dubbelt så mycket som 2017.

Däremot kan data du kommer åt när du använder lösenordsskyddade patientportaler också skickas till Facebook via pixlar. Markupen hittade Meta Pixel i patientportaler från sju hälsosystem, inklusive Edward-Elmhurst Health, FastMed, Novant Health och Community Health Network.

Data som samlades in var bland annat namn på mediciner som tas, beskrivningar av allergiska reaktioner och kommande läkarbesök.⁶ Novant Health, som tog bort pixeln efter att ha blivit kontaktad av The Markup, sa: "Vi uppskattar att du kontaktar oss och delar med dig av denna information. Vår metapixelplacering styrs av en tredjepartsleverantör och den har tagits bort medan vi fortsätter att undersöka denna fråga."⁷

Markup samarbetar nu med Mozilla Rally, genom att använda ett webbläsartillägg och crowdsourcing för att skicka data om Meta Pixel på webbplatser som besöks av studiedeltagare. Syftet med studien, som pågår till och med den 13 juli 2022, och har kallats Facebook Pixel Hunt, är att kartlägga Facebooks pixelspårningsnätverk för att bättre förstå vilka typer av information som samlas in över webben.⁸

"Ganska troligt ett HIPPA-brott"

Den federala Health Insurance Portability and Accountability Act (HIPAA) gör det olagligt för sjukhus att dela personligt identifierbar hälsodata med Facebook och andra, om inte en individ har samtyckt till det. Som ett resultat är det möjligt att Facebooks Meta Pixel på sjukhussajter är olaglig.

David Holtzman, en tidigare senior integritetsrådgivare vid det amerikanska departementet för hälsa och mänskliga tjänsters kontor för medborgerliga rättigheter, sa till The Markup: "Jag är djupt oroad över vad [sjukhusen] gör med att fånga deras data och dela med sig av Det. Jag kan inte säga att [att dela denna information] är ett HIPAA-brott. Det är ganska troligt ett HIPAA-brott.”⁹

Senast den 15 juni 2022 hade minst sju av sjukhusen som The Markup kontaktade tagit bort pixlar från sina mötesbokningssidor, medan minst fem av hälsosystemen med Meta Pixels på sina patientportaler hade tagit bort pixlarna.

Men för att få en uppfattning om omfattningen av de data som släpps, fann The Markup att mer än 26 miljoner patientinläggningar och öppenvårdsbesök hade delats av de 33 sjukhusen som använde Meta Pixels, och det är sannolikt konservativt.

”Vår utredning var begränsad till drygt 100 sjukhus; datadelningen påverkar sannolikt många fler patienter och institutioner än vi identifierat”, rapporterade The Markup.¹⁰ Faktum är att varje gång du surfar på nätet kommer du sannolikt att stöta på en Meta Pixel, eftersom de finns på mer än 30 % av de mest populära webbplatserna online.¹¹

IP-adresser listas som en av de identifierare som kan få data att räknas som skyddad hälsoinformation enligt HIPPA. Vidare, om du är inloggad på Facebook när du besöker en sjukhuswebbplats med en Meta Pixel kan ännu fler spårningsmekanismer, såsom tredjepartscookies, bifogas, så att pixeldata kan länkas till Facebook-konton. Enligt The Markup:¹²

"[I]i flera fall fann vi – med hjälp av både dummy-konton skapade av våra reportrar och data från Mozilla Rally-volontärer – att Meta Pixel gjorde det ännu lättare att identifiera patienter.

När The Markup klickade på knappen "Slutför bokning" på en läkares sida på en Scripps Memorial Hospital skickade pixeln till Facebook inte bara namnet på läkaren och hennes medicinområde utan också förnamn, efternamn, e-postadress, telefonnummer, postnummer. kod och bostadsort som vi angav i bokningsformuläret."

Patienter skulle bli "chockade"

Det är mycket möjligt att det Facebook gör med känsliga patienthälsodata är olagligt, men även om det inte är det, skulle de flesta människor bli chockade över att ta reda på vilka typer av data som Facebook samlar in om dem online, när de använder vad som antas. att vara privata, skyddade hälsowebbplatser och patientportaler.

I ett samtal med The Markup förklarade Glenn Cohen, fakultetschef för Harvard Law Schools Petrie-Flom Center for Health Law Policy, Biotechnology and Bioethics:¹³

"Nästan alla patienter skulle bli chockade över att få reda på att Facebook tillhandahålls ett enkelt sätt att associera sina recept med deras namn. Även om det kanske finns något i den juridiska arkitekturen som tillåter att detta är lagligt, är det helt utanför förväntningarna på vad patienterna tror att hälsoskyddslagarna gör för dem.”

Medan Facebook hävdar att de använder maskininlärningssystem för att upptäcka känslig hälsodata och blockera den från att samlas in, visade sig hundratals webbplatser från krisgraviditetscenter dela besöksinformation med sociala mediejätten, inklusive information som huruvida besökaren var söker graviditetstest, akuta preventivmedel eller abort.

Uppgifterna kan användas för att rikta riktade annonser eller till och med, i värsta fall, potentiellt i rättsliga förfaranden.

Albert Fox Cahn, grundare och verkställande direktör för Surveillance Technology Oversight Project, sa till The Markup, "Jag tror att det här kommer att bli en väckarklocka för miljontals amerikaner om hur stor fara den här spårningen försätter dem i när lagar ändras och människor kan beväpna dessa system på sätt som en gång verkade omöjliga."¹⁴

Google spårar också hälsodata

Under 2019 samarbetade Google med University of Chicago Medial Center för att samla in journaler och använda artificiell intelligens för att förutsäga mediala händelser. Dokumenten skulle vara anonyma, men de inkluderade datumstämplar och läkaranteckningar, som enligt rättegången Google kunde kombinera med geolokaliseringsdata för att identifiera patienter.¹⁵

Rättegången hävdade, "Den personliga medicinska informationen som Google erhållit är den mest känsliga och intima informationen i en individs liv, och dess otillåtna avslöjande är mycket mer skadligt för en individs integritet" än data som vanligtvis exponeras i hackningar, som kreditkortsnummer.¹⁶

Fyra justitiejurister har också stämt Google för dess bedrägliga metoder för att samla in platsdata från allmänheten. De separata stämningarna hävdar att Google fortsatte att spåra platsdata för sina användare även efter att de hade inaktiverat platsspårning.

Karl A. Racine, justitiekansler för District of Columbia, inledde en utredning av Google efter att en AP News-rapport från 2018 avslöjade att Google spårade människors rörelser även när de hade valt bort sådan spårning.¹⁷ Googles vilseledande påståenden till användare angående integritetsskydd som är tillgängligt i deras kontoinställningar har pågått sedan åtminstone 2014, visade Racines undersökning.¹⁸

Bortsett från att dölja platsspårning under inställningar som användare inte skulle förvänta sig, som webb- och appaktivitet – som är aktiverad som standard – anklagas Google för att samla in och lagra platsinformation via Googles tjänster, Wi-Fi-data och marknadsföringspartners, igen efter enheten eller kontoinställningar hade ändrats för att stoppa platsspårning.¹⁹

Utöver District of Columbia har riksåklagare i Texas, Washington och Indiana också lämnat in stämningar mot Google för deras vilseledande praxis för datainsamling. Stämningarna hävdar att Google också pressade användare att använda platsspårning oftare eftersom de hävdade – felaktigt – att dess produkter inte skulle fungera korrekt utan den.²⁰

Platsdata kan samtidigt användas för att avslöja intima detaljer om ditt liv, från dina gymmedlemskap, hälsovårdsbesök, butiker och restauranger du besöker till där du går till kyrkan. Den kan också användas för att tillhandahålla personliga annonser på digitala skyltar när du går förbi, och Google spårar och ger sina kunder information om hur bra onlineannonser fungerar för att få folk till fysiska butiker.²¹

Skydda din integritet online

När du väl inser att du spåras online är det klokt att medvetet välja bort det så mycket som möjligt. Robert Epstein, Ph.D., senior forskningspsykolog vid American Institute for Behavioral Research and Technology (AIBRT), påminner människor om att gratistjänster online, som Facebook och Google, inte är riktigt gratis, eftersom du betalar för dem med din frihet.²² För att ta tillbaka en del av din integritet online, både för dig själv och dina barn, rekommenderar han:²³

1. Bli av med Gmail. Om du har ett Gmail-konto, prova en e-posttjänst som inte kommer från Google istället som t.ex ProtonMail, en krypterad e-posttjänst baserad i Schweiz.
2. Avinstallera Google Chrome och använd Modig webbläsare istället, tillgänglig för alla datorer och mobila enheter. Det blockerar annonser och skyddar din integritet.
3. Byt sökmotor. Prova Brave sökmotor istället.
4. Undvik Android. Google-telefoner och telefoner som använder Android spårar praktiskt taget allt du gör och skyddar inte din integritet. Det är möjligt att avgoogla din mobiltelefon genom att skaffa en Android-telefon som inte har ett Google-operativsystem, men du måste hitta en skicklig IT-person som kan formatera om din mobiltelefons hårddisk.
5. Undvik Google Home-enheter. Om du har Google Home-smarthögtalare eller Google Assistant-smarttelefonappen finns det en chans att folk lyssnar på dina förfrågningar och till och med lyssnar när du inte förväntade dig.
6. Rensa cache och cookies. Detta kommer att hjälpa till att bli av med invasiva datorkoder som spårar vad du gör online.
7. Använd en proxy eller VPN (Virtual Private Network). Den här tjänsten skapar en buffert mellan dig och internet, "lurar många av övervakningsföretagen att tro att du inte riktigt är du."